Windows 10 : Microsoft publie KB5066791, derniĂšre mise Ă  jour gratuite avant la fin du support

Selon BleepingComputer, Microsoft a publiĂ© la mise Ă  jour cumulative KB5066791 pour Windows 10, prĂ©sentĂ©e comme la derniĂšre mise Ă  jour gratuite alors que le systĂšme arrive en fin de cycle de support. — Principaux points — Produit concernĂ© : Windows 10 Mise Ă  jour : KB5066791 Nature : mise Ă  jour cumulative Statut : derniĂšre mise Ă  jour gratuite Contexte : fin du cycle de support de Windows 10 Cette annonce marque « la fin d’une Ăšre » pour Windows 10, la publication de KB5066791 scellant la phase finale de son support. ...

14 octobre 2025 Â· 1 min

Zero‑day LFI dans CentreStack/Triofox (CVE‑2025‑11371) exploitĂ© pour RCE via ViewState

Selon Horizon3.ai (attaque research), un zero‑day CVE‑2025‑11371 est activement exploitĂ© contre Gladinet CentreStack et Triofox, affectant toutes les versions jusqu’à 16.4.10315.56368 et antĂ©rieures. 🚹 La faille est une LFI non authentifiĂ©e permettant la lecture arbitraire de fichiers, l’exfiltration de la machineKey et la forge de ViewState signĂ©s pour obtenir une exĂ©cution de code Ă  distance (RCE). Aucun patch n’est disponible Ă  ce stade. DĂ©tails techniques clĂ©s: VulnĂ©rabilitĂ©: Local File Inclusion non authentifiĂ©e au sein de l’application web. ChaĂźne d’attaque: Lecture de Web.config via la LFI, Extraction de la machineKey, Forge de payloads ViewState signĂ©s, DĂ©sĂ©rialisation cĂŽtĂ© serveur aboutissant Ă  la RCE. Mesures de mitigation temporaires mentionnĂ©es: ...

14 octobre 2025 Â· 1 min

Astaroth : un trojan bancaire abuse de GitHub et de la stéganographie pour rester actif

Selon McAfee Labs, une nouvelle campagne du trojan bancaire Astaroth abuse de GitHub pour hĂ©berger et mettre Ă  jour sa configuration via des images contenant des donnĂ©es stĂ©ganographiĂ©es, permettant Ă  l’opĂ©ration de perdurer mĂȘme si l’infrastructure C2 est perturbĂ©e. Les dĂ©pĂŽts malveillants ont Ă©tĂ© signalĂ©s et retirĂ©s en collaboration avec GitHub. ‱ SynthĂšse đŸ•”ïžâ€â™‚ïž: l’infection commence par un e-mail de phishing menant au tĂ©lĂ©chargement d’un ZIP contenant un fichier LNK. À l’exĂ©cution, un enchaĂźnement JavaScript → AutoIt → shellcode charge un DLL (Delphi) qui injecte la charge finale (Astaroth) dans un nouveau processus RegSvc.exe. Le malware dĂ©tecte l’accĂšs Ă  des sites bancaires/crypto et enregistre les frappes pour voler les identifiants. L’exfiltration s’effectue via le reverse proxy Ngrok. Pour la rĂ©silience, la configuration est rĂ©cupĂ©rĂ©e pĂ©riodiquement depuis GitHub, dissimulĂ©e dans des images (stĂ©ganographie). La campagne cible majoritairement le BrĂ©sil. ...

13 octobre 2025 Â· 4 min

CamoLeak : faille critique dans GitHub Copilot Chat permettant l’exfiltration de code privĂ© via contournement CSP

Selon une publication d’Omer Mayraz, une vulnĂ©rabilitĂ© critique baptisĂ©e « CamoLeak » affectait GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code depuis des dĂ©pĂŽts privĂ©s et le contrĂŽle des rĂ©ponses de Copilot. GitHub a corrigĂ© le problĂšme en dĂ©sactivant complĂštement le rendu des images dans Copilot Chat au 14 aoĂ»t 2025. ‱ DĂ©couverte et impact. En juin 2025, l’auteur identifie une faille (CVSS 9.6) dans GitHub Copilot Chat qui, via prompt injection Ă  distance, permet d’orienter les rĂ©ponses (incluant la suggestion de code malveillant ou de liens) et d’exfiltrer des donnĂ©es de dĂ©pĂŽts privĂ©s auxquels l’utilisateur victime a accĂšs. Le comportement tient au fait que Copilot agit avec les mĂȘmes permissions que l’utilisateur. ...

13 octobre 2025 Â· 3 min

Cartographie de l’infrastructure Lumma Stealer : 320+ domaines corrĂ©lĂ©s via pivots techniques

Source: Intel Insights (Substack). Dans ce billet de recherche, les auteurs montrent comment partir d’un unique domaine C2 (nonsazv.qpon) pour cartographier Ă  grande Ă©chelle l’infrastructure de Lumma Stealer grĂące Ă  des pivots techniques multi-sources. 🔎 L’étude met en Ă©vidence une prĂ©fĂ©rence des acteurs pour des hĂ©bergeurs « bulletproof » — notamment Aeza (ASN 210644), Route95 (ASN 8254), Routerhosting et Proton66 — et pour des TLD comme .top, .xyz, .qpon et .ru. En combinant clustering ASN, empreintes SSL et analyse de chaĂźne d’infection, les chercheurs relient plus de 320 domaines entre eux et observent des empreintes serveur nginx/1.24.0 (Ubuntu). ...

13 octobre 2025 Â· 2 min

Compromission massive de SonicWall SSLVPN via identifiants valides, coïncidant avec l’incident MySonicWall

Selon Huntress (blog), une compromission Ă©tendue de dispositifs SonicWall SSLVPN a touchĂ© plus de 100 comptes rĂ©partis sur 16 environnements clients, avec des connexions malveillantes observĂ©es Ă  partir du 4 octobre. L’enquĂȘte met en Ă©vidence l’usage d’identifiants valides plutĂŽt que du bruteforce, et une origine rĂ©currente des connexions depuis l’adresse IP 202.155.8[.]73. 🚹 Sur le plan technique, les attaquants ont procĂ©dĂ© Ă  des authentifications rapides sur de multiples comptes, particuliĂšrement entre les 4 et 6 octobre. Les sessions prĂ©sentaient des comportements post-exploitation variables : certaines se dĂ©connectaient rapidement, tandis que d’autres Ă©voluaient vers du scan rĂ©seau et des tentatives d’accĂšs Ă  des comptes Windows locaux. ...

13 octobre 2025 Â· 2 min

Des webhooks Discord détournés en C2 pour exfiltrer des données via npm, PyPI et RubyGems

Source : Socket (blog Socket.dev) — Rapport de recherche sur l’abus des webhooks Discord comme infrastructure de commande et contrĂŽle (C2) pour l’exfiltration de donnĂ©es. Le rapport met en Ă©vidence une tendance croissante oĂč des acteurs malveillants exploitent les webhooks Discord comme C2 afin d’exfiltrer des donnĂ©es sensibles depuis des systĂšmes compromis. Ces campagnes s’appuient sur des paquets malveillants publiĂ©s sur npm, PyPI et RubyGems, qui envoient des informations collectĂ©es vers des salons Discord contrĂŽlĂ©s par les attaquants, dĂšs l’installation du paquet. ...

13 octobre 2025 Â· 2 min

Énergie & utilities: +54% de ransomware et RCE/ACE dominantes — rapport CYFIRMA

CYFIRMA publie un rapport sectoriel sur 90 jours dĂ©taillant l’activitĂ© cyber dans l’énergie & utilities. Panorama sectoriel 📈 Le secteur se classe 12e-13e sur 14 en volume d’activitĂ© malveillante. Des campagnes APT ont touchĂ© 3 opĂ©rations sur 22 observĂ©es (14%), dans 17 pays et via des vecteurs variĂ©s. Les incidents de ransomware ont augmentĂ© de 54% pour atteindre 43 victimes, le secteur restant toutefois relativement moins prioritaire pour les attaquants en raison de sa dĂ©pendance Ă  l’OT. L’activitĂ© souterraine liĂ©e au secteur est restĂ©e stable (2,27% de part), dominĂ©e par les sujets fuites de donnĂ©es et exfiltrations. ...

13 octobre 2025 Â· 2 min

Exploitation active de CVE-2025-11371: LFI dans Gladinet CentreStack/Triofox menant Ă  une RCE via ViewState

Selon Huntress, des acteurs malveillants exploitent activement CVE-2025-11371, une vulnĂ©rabilitĂ© de type LFI non authentifiĂ©e affectant les produits Gladinet CentreStack et Triofox, avec au moins trois clients impactĂ©s et aucune mise Ă  jour corrective disponible Ă  ce stade. ‱ Nature de la faille: Local File Inclusion (LFI) non authentifiĂ©e permettant l’accĂšs Ă  des fichiers locaux sensibles. Les versions touchĂ©es incluent Ă©galement des versions postĂ©rieures Ă  16.4.10315.56368 (celles corrigĂ©es pour CVE-2025-30406). ...

13 octobre 2025 Â· 2 min

GreyNoise dĂ©tecte une campagne botnet massive ciblant les services RDP aux États‑Unis

Source: GreyNoise — Le fournisseur de threat intelligence rapporte l’identification d’une opĂ©ration botnet Ă  grande Ă©chelle et centralisĂ©e, dĂ©butĂ©e le 8 octobre 2025, ciblant l’infrastructure RDP aux États‑Unis. 🚹 L’opĂ©ration utilise deux mĂ©thodes principales d’attaque: Microsoft RD Web Access Anonymous Authentication Timing Attack Scanner et Microsoft RDP Web Client Login Enumeration Check. Les schĂ©mas d’activitĂ© indiquent une campagne coordonnĂ©e visant Ă  sonder et Ă©numĂ©rer les accĂšs RDP exposĂ©s aux États‑Unis. ...

13 octobre 2025 Â· 2 min
Derniùre mise à jour le: 8 juillet 2026 📝